Malware Sturnus dokáže číst šifrované zprávy v aplikacích Whatsapp, Signal a Telegram. Foto: CyberInsider.
Podle zprávy společnosti ThreatFabric byl Sturnus pozorován při cílených útocích, zaměřených především na uživatele v jižní a střední Evropě. Výzkumníci se domnívají, že malware je stále v raných fázích vývoje a pravděpodobně je nasazován sporadicky pro testování, nikoli v rámci rozsáhlých kampaní. Jeho „škálovatelná“ architektura z něj však činí nebezpečnou hrozbu, na kterou je třeba si dát pozor.
Způsob infekce
Proces infekce začíná, když si uživatelé stáhnou škodlivé soubory APK pro Android (aplikace stažené z neoficiálních webových stránek mimo obchod Google Play). Tyto soubory APK jsou často maskované jako legitimní aplikace, jako je Google Chrome nebo Preemix Box, a uživatelé nevědomky instalují aplikace třetích stran obsahující tento Sturnus.
Po instalaci Sturnus vytvoří šifrovaný HTTPS kanál pro přenos příkazů a únik dat.
Když uživatel otevře zabezpečenou aplikaci pro zasílání zpráv, malware ji detekuje a spustí proces UI-tree. Tento systém umožňuje aplikaci Sturnus číst všechna data zobrazená na obrazovce v reálném čase, včetně jména odesílatele, obsahu zprávy a časového razítka. Protože se toto monitorování provádí lokálně, deaktivuje ochranu poskytovanou protokoly, jako je Signal Protocol. To se děje bez jakéhokoli zjevného varování pro uživatele a rozhraní aplikace se jeví normálně. Toto je také nejalarmující funkce.
Sturnus navíc získává administrátorská oprávnění na zařízeních se systémem Android, což mu umožňuje sledovat změny hesel a pokusy o odemčení a také vzdáleně uzamknout zařízení. Malware je také navržen tak, aby uživatelům zabránil v odebrání oprávnění nebo odinstalování softwaru ze zařízení.
Sofistikovaná krádež bankovních informací
Sturnus dokáže ukrást bankovní přihlašovací údaje prostřednictvím falešných přihlašovacích obrazovek s použitím HTML překryvů, které napodobují legitimní bankovní aplikace. Tyto překryvy jsou uloženy lokálně a jsou přizpůsobeny konkrétním finančním institucím.
Malware poskytuje útočníkům úplnou dálkovou kontrolu v reálném čase. Dálková kontrola umožňuje útočníkům sledovat veškeré aktivity uživatelů, vkládat text bez fyzické interakce, provádět podvodné transakce, včetně převodu peněz z bankovní aplikace, potvrzování dialogových oken, schvalování obrazovek s vícefaktorovým ověřováním, změny nastavení nebo instalace nových aplikací.
Při provádění těchto škodlivých akcí Sturnus pracuje s vysokou mírou anonymity. Dokáže začernit obrazovku zařízení (aktivovat černé překrytí), aby skryl svou probíhající aktivitu na pozadí, aniž by o tom oběť věděla.
Doporučení pro ochranu
Aby se uživatelé systému Android chránili před virem Sturnus, měli by dodržovat následující opatření:
Nestahujte soubory APK z jiných zdrojů než Google Play nebo od neznámých vývojářů aplikací.
Vždy zapněte Play Protect, aby prohledával a odstraňoval hrozby.
Neudělujte oprávnění pro přístupnost, pokud to není nezbytně nutné, a zkontrolujte nainstalované aplikace, zda mají oprávnění pro Službu přístupnosti.
- Video, které by vás mohlo zajímat: Varování před malwarem, který krade informace z obrázků na zařízeních Android a iPhone. Zdroj: VTV24.
Zdroj: https://doanhnghiepvn.vn/cong-nghe/canh-bao-ma-doc-sturnus-doc-trom-tin-nhan-va-lay-du-lieu-ngan-hang-tren-android/20251128095956316
Komentář (0)